网络安全能力成熟度模型详解

于 2024-01-24 15:28:24 发布
阅读量1k 收藏 24
点赞数 21
文章标签: web安全 大数据 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Saki_Python/article/details/135823577
版权
网络安全能力成熟度模型(C2M2)旨在帮助企业评估和改进网络安全,强化运营弹性。模型由10个域组成,涵盖资产、风险管理等领域,设有四个成熟度指标级别。资产包括IT、OT和信息资产,C2M2提供了一套全面的网络安全活动实践,以实现与业务目标和风险相匹配的安全水平。
摘要由CSDN通过智能技术生成

一、概述

经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。

二、模型介绍

网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力部门协调委员会(ESCC)和石油和天然气部门协调委员会(ONG SCC)资助共同开发出版发行。它解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理问题。可以作为全面的企业网络安全建设的参考和补充。

C2M2 包括领域、目标、实践和 MIL(成熟度指标级别)。以下各节将讨论每个组件。

:域是网络安全的一类主题。该模型有10个域,每个域都包含一组网络安全实践。每组实践都表示组织可以执行的活动,以域为单位建立成熟度模型。

目标:每个域内的实践被组织设定成目标,这些目标代表了可以通过在该领域实施实践来实现的网络安全成果。例如,风险管理领域包括五个目标:

  • 建立和维护网络风险管理战略和计划

  • 识别网络风险

  • 分析网络风险

  • 应对网络风险

  • 经营活动

实践

最低0.47元/天 解锁文章
Python_P叔
关注
GJB5000B详解:军用软件能力成熟度模型
qq_41854911的博客
09-26 194
军用软件能力成熟度模型》简称GJB5000B,是我国国防领域用于衡量和提升军用软件开发能力的标准。该标准的制定目的是为了提高军用软件的开发质量、降低风险,并规范软件工程的流程。作为一项重要的国防标准,GJB5000B不仅仅是对软件开发过程的要求,同时也是军用信息化体系建设的基础,它帮助各级军工单位提升软件开发的成熟度,并通过明确的标准和流程提升项目管理和开发效率。
LLM大模型能力与企业业务系统集成技术方案
最新发布
AI天才研究院
06-28 208
随着人工智能技术的迅猛发展,大语言模型(Large Language Models, LLMs)如GPT-4、BERT等在自然语言处理领域取得了显著的成果。这些模型通过在海量数据上进行预训练,具备了强大的语言理解和生成能力。然而,如何将这些大模型能力与企业业务系统进行有效集成,充分发挥其价值,成为了一个亟待解决的问题。LLM与企业业务系统的集成,本质上是将预训练的大语言模型通过API接口嵌入到业务系统中,使其能够处理业务请求,提供智能化的语言处理能力
企业信息安全的两个成熟度模型
weixin_34163553的博客
04-28 699
对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言,这一点从企业每年不断增加的信息安全预算以及信息安全优先级的不断提升中得到体现。但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。一个好的信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将...
网络安全能力成熟度模型介绍
ducc20180301的博客
06-26 9644
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
电力系统网络空间安全能力成熟度模型
weixin_33735077的博客
07-26 187
在今年5月底,美国能源部发布了由卡梅主笔的电力系统网络空间安全能力成熟度模型V1.0,作为保障重要/关键基础实施的网络空间安全计划的一部分。 这算是第一个有关CyberSecurity的CMM。该模型将cybersecurity的能力从0到3划分了四级,分别是MIL0:不完备级;MIL1:初始级;MIL2:改进级;MIL3:可管理级。 模型将cybersecurity的成熟度能力评价分解为10...
10-网络安全框架及模型-数据安全能力成熟度模型(DSMM)
道爷我悟了,哈哈哈哈哈哈
12-22 3338
数据安全能力成熟度模型(DSMM)诞生的背景是随着信息技术的快速发展,组织机构的数据量呈指数级增长,数据安全问题日益突出。为了保障数据安全,我国制定了数据安全法,并推出了相应的国家标准。在国家标准中,DSMM是一个重要的数据安全标准,旨在评估和提升组织机构的数据安全能力。因此,DSMM模型应运而生,为组织提供了一种系统的方法来评估其数据安全能力和实践。
网络安全能力成熟度模型C2M2 V2.0(中译版).pdf
02-21
网络安全能力成熟度模型
信息安全能力成熟度模型_IS_CMM_的建构
04-20
信息安全能力成熟度模型
网络安全日志管理与审计技术详解
网络安全日志管理概述 网络安全日志管理在当今数字化时代越来越受到重视,作为保障信息系统安全的一项重要技术,其重要性不言而喻。本章将从网络安全日志的定义、日志记录的重要性以及日志管理的基本原则等方面...
网络安全能力成熟度评估模型.zip
04-01
网络安全能力成熟度评估模型充分借鉴了国内外安全标准及规范,经过多个单项目金额200万以上的安全战略规划咨询项目检验,具备严密逻辑性及高可落地性,适用于跨国上市公司及500强企业:该模型具有: 五个级别:非正式执行、计划跟踪、充分定义、量化可控制、持续优化; 五大安全能力层面:安全治理能力安全管理能力安全技术能力安全运营能力安全验证能力; 每个控制点从组织人员、制度流程、技术工具等维度进行成熟度评价。 该模型是落实企业安全建设能力成熟度差距评估,构建企业安全顶层规划,规划安全建设执行步骤不可缺少的必要环节工具。
各国网络安全能力成熟度模型 (CMM) 修订版-研究论文
06-10
全球网络安全能力中心(Capacity Centre)的目标是通过更全面和细致地了解网络安全能力格局,提高英国和国际网络安全能力建设的规模和有效性。 我们的目标是确保能力中心收集和产生的知识和研究能够以系统和实质性的方式帮助各国提高其网络安全能力。 通过帮助了解国家网络安全能力能力中心希望帮助促进创新网络空间,以支持所有人的福祉、人权和繁荣。 为实现这一目标,能力中心于 2014 年开发了其原型国家网络安全能力成熟度模型,并于 2015 年在 11 次国家网络安全能力审查以及拉丁美洲和加勒比地区(由美洲国家组织与美洲开发银行合作)。 审查是与多个国际组织和主要部委一起进行的,并召集了社会各界的利益相关者,以全面了解国家网络安全能力成熟度。 在审查期间,能力中心能够衡量模型的内容是否与网络安全能力格局一致,并通过吸取的经验教训确定增强模型的整体内容、结构和部署的方法。 因此,能力中心开发了该模型的修订版,称为国家网络安全能力成熟度模型 (CMM),基于通过该模型部署获得的经验教训。 能力中心根据经验教训向来自不同学科的网络安全专家小组提出了一系列修改建议。 这些专家磋商会确认了几项提议的修正,并提出了额外的意见供在 CMM 的修订中考虑。 一旦修改后的内容由领导各自网络安全能力维度发展的资深学者策划,CMM 的修订版就产生了。 CMM 修订版中所做的大部分更改都是结构性的,而不是实质性的。 某些因素和方面进行了组合或重新配置,以提高模型整体的清晰度和精度,同时确保内容的连续性。 例如,在维度 3 中,一些评论参与者对因素之间的差异表示混淆,导致对该维度进行了重新配置,以便更清楚地传达每个因素的意图。 为确保更准确地反映网络安全能力维度的本质,还对某些维度进行了增补等修改。 特别是在维度 5 中,增加了几个新的因素,使维度的重点转向技术标准、控制和产品,而不是现有的模糊范围。 最后,根据各个国家审查的反馈直接结果,添加了一些因素,例如在维度 2 中添加了关于媒体作用的因素,在维度 4 中添加了关于国际合作的因素。 CMM 不是静态练习。 随着能力中心继续在世界范围内部署该模型(到 2020 年,它已在 80 多个国家/地区部署),将吸取新的经验教训,可用于进一步增强 CMM。 我们的目标是确保 CMM 仍然适用于所有国家环境,并反映网络安全能力成熟度的全球状态。
美能源部网络安全成熟度模型C2M2 Version 2.1 June 2022
11-29
对各类组织的频繁网络入侵表明,需要改进网络安全。网络威胁持续增长,它们是现代组织面临的最严重的运营风险之一。国家安全和经济活力取决于关键基础设施的稳定运性和组织在面对这种威胁时能够持续运作。网络安全能力成熟度模型可以帮助所有行业、类型和规模的组织评估和改进其网络安全计划,并增强其运营弹性。 C2M2 侧重于与信息、信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践实施与管理。该模型可用于: 加强组织的网络安全能力 使组织能够有效且标准化地评估和检验网络安全能力 在组织间共享知识、最佳实践和相关参考资料,以提高网络安全能力使组织能够优先考虑行动和投资,以提高网络安全能力 C2M2 设计适用于一种自评估方法和工具(可根据要求获得)一起使用,以便组织衡量和改进其网络安全计划。使用该工具可以在一天内完成自评估,该工具也可以适用于更严格的评估工作。此外,C2M2 还可用于指导新的网络安全计划的开发。(在线评估工具: C2M2(doe.gov))C2M2 提供了描述性的而非说明性的指导。模型内容以较高的抽象级别表示,因此可以由不同类型、结构、规模和行业的组织来解释。一个行业广泛使
DCMM数据管理能力成熟度认证详解
longyurenzheng的博客
01-30 418
第一部分:评估基础篇First partDCMM定义DCMM是《数据管理能力成熟度评估模型》GB/T 36073-2018国家标准,英文简称:(Data management Capability Maturity Model)。是我国首个数据管理领域正式发布的国家标准。旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。DCMM包括哪些内容?   DCMM数
一文带你看懂网络安全能力成熟度模型(C2M2)
qq_53058639的博客
08-25 317
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
11-网络安全框架及模型-软件安全能力成熟度模型(SSCMM)
道爷我悟了,哈哈哈哈哈哈
12-22 1367
SSCMM模型是软件安全能力成熟度模型,它描述了一个组织中为确保优质安全工程而必须具备的安全工程过程的基本特性。该模型没有规定具体的过程或顺序,而是汇集了在行业中普遍遵循的实践。SSCMM模型诞生于一个对软件安全性和质量越来越重视的时代。在软件工程领域,保证软件产品的安全性和质量已经成为一项至关重要的任务。因此,许多组织和研究机构都在努力研究和开发新的方法和技术,以帮助开发人员更好地管理和提高软件的安全性和质量。SSCMM模型的出现,是为了提供一个框架和指导,帮助组织评估和提高软件安全能力
安全成熟度模型
vickie2019的博客
05-30 1147
安全框架为安全域提供了一个参考模型,通过该模型,组织可以保护其人员,数据,应用程序和基础设施。在每个域内,可以有不同程度的保护,从最小或基本,精通最后到优化。 每个组织的能力各不相同或意图根据其预算、经验、能力和风险偏好来部署安全解决方案。 他们可能有许多用户访问控制的经验,例如使用在People域中优化级别部署的高级自动化技术。 同时,他们可能处于应用程序扫描实施的第一步,因此可能会处于该域的基本安全级别。为了能够清晰地理解代表每个域内的成熟度级别的安全控制,如下图为安全成熟度模型: ...
SaaS架构设计详解成熟度模型与关键技术
首先,文档介绍了SaaS成熟度模型,这是一种评估SaaS应用能力的方法,将其分为四个级别。从Level1的设备托管到Level4的完全可配置、高性能和可伸缩性,每个级别都代表了功能的逐步增强。Level1侧重基础功能,而Level4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值